CN112332900A - 一种低轨卫星通信网络快速切换认证方法 - Google Patents

一种低轨卫星通信网络快速切换认证方法 Download PDF

Info

Publication number
CN112332900A
CN112332900A CN202011035872.3A CN202011035872A CN112332900A CN 112332900 A CN112332900 A CN 112332900A CN 202011035872 A CN202011035872 A CN 202011035872A CN 112332900 A CN112332900 A CN 112332900A
Authority
CN
China
Prior art keywords
satellite
switching
user terminal
message
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011035872.3A
Other languages
English (en)
Other versions
CN112332900B (zh
Inventor
刘子琦
朱义杰
杨玉龙
郑少波
李帅
黄克敏
魏自强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou Aerospace Institute of Measuring and Testing Technology
Original Assignee
Guizhou Aerospace Institute of Measuring and Testing Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou Aerospace Institute of Measuring and Testing Technology filed Critical Guizhou Aerospace Institute of Measuring and Testing Technology
Priority to CN202011035872.3A priority Critical patent/CN112332900B/zh
Publication of CN112332900A publication Critical patent/CN112332900A/zh
Application granted granted Critical
Publication of CN112332900B publication Critical patent/CN112332900B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/185Space-based or airborne stations; Stations for satellite systems
    • H04B7/1853Satellite systems for providing telephony service to a mobile station, i.e. mobile satellite service
    • H04B7/18565Arrangements for preventing unauthorised access or for providing user protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • Astronomy & Astrophysics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种低轨卫星通信网络快速切换认证方法,它包括:用户终端和卫星终端携带卫星固有设备信息向地面管理中心进行注册,原卫星根据卫星的周期性选择用户终端切换的卫星发送申请切换请求消息;切换卫星若成功解密得到用户终端的认证信息,向原卫星回复允许切换响应消息;原卫星接收切换卫星的允许切换响应消息,生成切换准备信息向用户终端发送;用户终端接收切换准备消息,并判断切换时间,向切换卫星发送切换认证请求消息;切换卫星接收切换认证请求消息,发送切换认证响应信息给用户终端;用户终端接收并验证切换认证响应信息,完成切换认证过程;本发明降低切换认证时延和计算开销的同时保证用户终端切换认证过程的安全性。

Description

一种低轨卫星通信网络快速切换认证方法
技术领域
本发明属于卫星通信技术,尤其涉及一种低轨卫星通信网络快速 切换认证方法。
背景技术
随着低轨卫星通信网络技术迅速发展。同时,随着国家安全、航 空航天、灾害预警等需求的不断增强,以及各种战略信息任务在陆、 海、空、天等不同维度空间不断开展,使原先相互独立的网络根据需 要进行信息共享,实现跨地域、跨空域通信和网络各节点协同工作, 低轨卫星距离地球最近,在通信延时、通信质量等方面更具优势,更 适合作为卫星接入点来为用户提供卫星通信服务,这促使低轨卫星通 信网络进一步发展,切换认证作为网络安全防护的重要组成部分,其 能够用于自身网络中各个节点在卫星之间切换时进行有效地身份识 别,防止恶意非法用户终端占用网络资源,影响用户终端与卫星通信 的质量。
由于低轨卫星相对于地面做高速运动,在低轨卫星通信网络中的 地面用户终端可以看成处于准静止状态,这就会导致地面用户终端需 要频繁切换卫星节点且绝大多数切换发生是由于卫星覆盖范围的转 移,用户终端需要进行重新认证或者切换认证的问题。但是,传统的 低轨卫星通信网络切换认证的方法使用集中认证的方式,且用户终端 每次进行切换的时候都需要进行重认证,其通信开销及计算开销大, 导致用户终端切换时,通信会话的连续性受到很大影响。无法针对不 同安全需求的用户终端选择合适的切换认证方式。这使得在资源有限 的低轨卫星通信网络中想对用户终端提供服务变得更加困难,用户终 端的服务体验也极大的受到影响。
发明内容
本发明所要解决的技术问题是:提供一种低轨卫星通信网络快速 切换认证方法,以解决现有技术低轨卫星通信网络切换认证的方法使 用集中认证的方式,且用户终端每次进行切换的时候都需要进行重认 证,其通信开销及计算开销大,导致用户终端切换时,通信会话的连 续性受到很大影响。无法针对不同安全需求的用户终端选择合适的切 换认证方式。这使得在资源有限的低轨卫星通信网络中想对用户终端 提供服务变得更加困难,用户终端的服务体验也极大的受到影响等技 术问题。
本发明的技术方案是:
一种低轨卫星通信网络快速切换认证方法,它包括:
步骤1、用户终端携带固有身份信息向地面管理中心进行注册,卫星 终端携带卫星固有设备信息向地面管理中心进行注册,地面管理中心 向用户终端以及卫星发送注册响应,保存用户终端以及卫星的注册信 息,完成所述用户终端以及卫星的注册;
步骤2、原卫星根据卫星的周期性选择用户终端切换的卫星;
步骤3、原卫星向切换卫星发送申请切换请求消息;
步骤4、切换卫星接收到申请切换请求消息,若成功解密得到用户终 端的认证信息,向原卫星回复允许切换响应消息;
步骤5、原卫星接收切换卫星的允许切换响应消息,生成用于发送给 终端设备的切换准备信息,原卫星向用户终端发送切换准备消息;
步骤6、用户终端接收切换准备消息,并判断切换时间,向切换卫星 发送切换认证请求消息;
步骤7、切换卫星接收并验证切换认证请求消息,发送切换认证响应 信息给用户终端;
步骤8、用户终端接收并验证切换认证响应信息,完成切换认证过程。
步骤1的具体实现方法为:固有身份信息包括18位的身份证号 或设备生产编号,若不足18位则用随机数填充,地面管理中心获取 用户终端的的固有身份信息后计算用户终端真实身份IDu=SHA1(身 份证号或设备生产编号||18字节的随机数),以对称加密的方式生成 256bit对应的密钥K,同时生成256bit的随机数r发送给注册的用户 终端,用户终端将IDu、K以及r存储起来;其中函数SHA1()为安全 散列算法1的哈希函数,SHA1(身份证号或设备生产编号||18字节的 随机数)运算表示,对身份证号或者设备生产编号与18字节的随机数 拼接后进行单向哈希计算;
卫星固有设备信息包括18位卫星生产编号,若不足18位则用随 机数填充,地面管理中心获取卫星设备的固有身份信息后计算卫星真 实身份IDs=SHA1(卫星生产编号||18字节的随机数),以对称加密的方 式生成256bit对应的密钥K’以及卫星系统中所有卫星所共享的密钥 k,同时生成256bit的随机数r’,发送给注册的卫星,卫星将IDs、K’、 r’以及k存储起来;
步骤3所述申请切换请求消息包括:使用第二密钥k加密得到的 Ek(SK、IDu、K、rsat)、第一时间戳Tsat,SK是原卫星与用户终端在 接入认证后协商的会话密钥,IDu是用户终端的真实身份,K是用户 终端的注册密钥,rsat是原卫星生成的第二随机数。
步骤4所述切换卫星接收到申请切换请求消息,若成功解密得到 用户终端的认证信息,向原卫星回复允许切换应答消息的具体实现方 法为:切换卫星接收到申请切换请求消息,通过低轨卫星系统之间共 同所存储的第二密钥k解密得到会话密钥SK、用户终端的真实身份 IDu以及对应的注册密钥K、随机数rsat,若成功解密得到用户终端的 认证信息,向原卫星回复允许切换应答消息,允许切换应答消息包括: 切换卫星使用哈希运算计算得到的切换会话密钥 SK1=h(SK||K||rsat||rsat’)、rsat’是切换卫星生成的第三随机数,||运算符号 表示拼接运算,h()函数为哈希函数。
步骤5所述允许切换响应消息包括:第二时间戳Tsat’及第三随机 数rsat’;所述切换准备信息包括:使用原卫星与用户终端安全通信的 会话密钥SK加密的消息Esk(rsat、rsat’、H、n)、第三时间戳Tph和消 息验证码MACSAT,其中MACSAT是使用原卫星与用户终端安全传输 的消息验证码密钥MACSAT_key对消息进行签名得到的, MACSAT_key=h(IDu||K||r)、r是用户终端注册随机数、切换通知时间戳 n及准备切换标志H;
步骤6所述用户终端接收切换准备消息,并判断切换时间,向切 换卫星发送切换认证请求消息的方法为:用户终端接收切换准备消息 并计算切换密钥SK1=h(SK||K||rsat||rsat’),计算第四随机数rh,向切换卫 星发送切换认证请求消息,所述切换认证请求消息包括:使用切换密 钥SK1加密的消息ESK1(ID、H)、唯一指定用户终端的标识消息 session_id=h(IDu||rsat’)、消息验证码MAC_H、第四时间戳Th、第四随 机数rh,其中MAC_H是使用原卫星与用户终端安全传输的消息验证 码密钥MACSAT_key对消息进行签名得到的。
步骤7所述切换卫星接收并验证切换认证请求消息,发送切换证 响应信息给用户终端的方法为:切换卫星接收并验证切换认证请求消 息,判断时间戳信息是否在允许的时间范围内,使用切换密钥SK1解密得到用户终端真实身份ID及切换标志H,计算消息验证码密钥 MACSAT_key=h(IDu||K||ru),验证签名消息,比对原卫星之前发送来的 当前切换用户终端的真实身份IDu,若验证成功,则计算 Hsat_h=h(k||rsat’||rsat),计算session_id_h=h(ID||Tsh)唯一标识当前切换的 用户终端,使用用户终端注册密钥K加密的消息EK(session_id_h、 Hsat_h),原卫星与用户终端安全传输的消息验证码密钥MACSAT_key 对消息进行签名得到MAC_H,同时计算用于会话密钥SK’=h(h(K||r’ ||rh)||K’)以及消息验证码密钥MACUS_key=h(ID||Hsat_h),其中Tsh是第 五时间戳信息。
步骤8所述用户终端接收并验证切换认证响应信息,完成切换认 证过程的方法为:用户终端使用MACSAT_key验证签名,若验证成功, 用户终端使用用户终端注册密钥K解密得到session_id_h和Hsat_h, 计算用于会话密钥SK’=h(h(K||r’||rh)||K’)以及消息验证码密钥 MACUS_key=h(ID||Hsat_h),完成用户终端切换认证过程。
用户终端向卫星发送接入认证请求消息,包括使用异或运算和哈 希函数计算得到的随机数H=r⊕h(K||Ru),进一步计算得到的伪身份 PIDu=IDu⊕H,消息验证码MACu=h(IDu||Ru||T)以及随机数ru=Ru⊕ h(K||r),其中T为时间戳,Ru为终端发送认证请求的时候自己生成的 随机数;ru是终端通过生成的随机数Ru和之前注册获得的随机数r 共同计算得到的;⊕运算符号表示异或运算,H=r⊕h(K||Ru)表示K与 Ru拼接后进行哈希计算,然后与r进行异或运算得到H;
卫星接收到用户终端的接入认证请求消息,通过在卫星上维护的 合法接入用户终端验证表判断当前用户终端是否首次接入认证,通过 用户终端是否携带有session_id信息,或携带的session_id信息是否 在合法接入用户终端验证表中来判断是否首次接入认证;若为首次接 入认证,转发用户终端的接入认证请求消息以及卫星的身份认证消息给地面管理中心,以此来向地面询问用户终端的合法性。
用户终端向卫星发送接入认证请求消息还包括用户终端选择的 安全等级的接入认证方式,所述安全等级的接入认证方式经过卫星转 发到地面管理中心,地面管理中心再选择对应的计算方式进行认证; 用户终端可以选择不同安全等级的接入认证方式包括哈希hash算法 选项、随机数长度选项以及对称加密算法选项,哈希hash算法选项 包括安全散列算法SHA1、安全散列算法SHA128以及安全散列算法 SHA256,随机数长度选项包括32bit、64bit以及128bit,对称加密算 法选项包括AES、DES、或3DES;
卫星的身份认证消息具体包括:卫星使用异或运算和哈希函数计 算得到随机数H’=r’⊕h(K’||Rs),进一步计算得到伪身份PIDs=IDs⊕H’,消息验证码MACs=h(IDs||Rs||T’)以及随机数rs=Rs⊕h(K’||r’), 其中T’为时间戳,Rs为卫星发送认证请求时自己生成的随机数。
本发明的有益效果是:
本发明通过用户与卫星接入认证后双方协商的会话密钥SK生成 切换密钥SK1进行用户与卫星之间的切换认证。用户与卫星之间是通 过对称加密的方式进行切换认证的,可以有效的降低计算开销和切换 时延,且切换密钥只有通过会话密钥生成,与用户安全通信过程紧密 关联,因此可以进一步保证切换的安全性。此外在用户切换到下一颗 卫星之前,原卫星与切换卫星之间合理利用了卫星运行的周期性特 点,快速的找到当前用户所需切换的卫星,原卫星会通过对称加密的 方式传递用户的认证信息,保证了消息传输安全性,当用户进行切换 的时候切换卫星无需向地面管理中心询问用户身份的合法性,直接通过卫星对用户的身份进行验证,有效降低了通信开销,降低切换认证 时延,保证用户通信的连续性。此外,本发明满足用户与切换卫星之 间的双向认证,可以有效保证切换认证的安全性。
解决了现有技术低轨卫星通信网络切换认证的方法使用集中认 证的方式,且用户终端每次进行切换的时候都需要进行重认证,其通 信开销及计算开销大,导致用户终端切换时,通信会话的连续性受到 很大影响。无法针对不同安全需求的用户终端选择合适的切换认证方 式。这使得在资源有限的低轨卫星通信网络中想对用户终端提供服务 变得更加困难,用户终端的服务体验也极大的受到影响等技术问题。
附图说明
图1是本发明整体流程图。
具体实施方式
下面对本发明具体的实施方式进行阐述,来进一步说明本发明的 出发点以及相应的技术方案。
整个切换可过分为:系统初始化阶段、注册阶段与切换阶段。下 面针对这三个阶段做详细的介绍。
一、系统初始化阶段:建立系统参数,所建立的系统参数主要包 括:低轨卫星系统中卫星之间的共享密钥;单向哈希函数h。
二、注册阶段:卫星要向地面管理中心进行登记注册以获取相关 的卫星信息以及卫星系统中所有卫星共享的密钥信息。
三、切换阶段:原卫星根据卫星移动的周期性和始终高度同步的 特点,确定用户所要切换的卫星,首先向切换卫星发送申请切换请求 消息及用户的认证相关信息,切换卫星接收并验证申请切换请求消息 及用户的认证相关信息,切换卫星将允许切换响应消息回复给原卫 星,原卫星将切换准备消息发送给用户终端,用户终端根据切换准备 消息中的时间戳信息判断何时进行切换,然后向切换卫星发送切换请 求消息,由切换卫星进行验证,若验证通过,双方协商出会话密钥以 及消息验证码用于之后的密钥更新,完成切换认证过程。
用户终端携带固有身份信息向地面管理中心进行注册,卫星终端 携带卫星固有设备信息向地面管理中心进行注册,地面管理中心向所 述用户终端以及卫星发送注册响应,保存用户终端以及卫星的注册信 息。完成所述用户终端以及卫星的注册,具体为:固有身份信息包括 18位的身份证号或设备生产编号,若不足18位则用随机数填充,地 面管理中心获取用户终端的的固有身份信息后计算用户终端真实身 份IDu=SHA1(身份证号或设备生产编号||18字节的随机数),以对称加 密的方式生成256bit对应的密钥K,同时生成256bit的随机数r发送 给注册的用户终端,用户终端将IDu、K以及r存储起来;其中函数SHA1()为安全散列算法1的哈希函数,SHA1(身份证号或设备生产编 号||18字节的随机数)运算表示,对身份证号或者设备生产编号与18 字节的随机数拼接后进行单向哈希计算。
卫星固有设备信息包括18位卫星生产编号,若不足18位则用随 机数填充,地面管理中心获取卫星设备的固有身份信息后计算卫星真 实身份IDs=SHA1(卫星生产编号||18字节的随机数),以对称加密的方 式生成256bit对应的密钥K’以及卫星系统中所有卫星所共享的密钥 k,同时生成256bit的随机数r’,发送给注册的卫星,卫星将IDs、K’、 r’以及k起来;
用户终端向卫星发送接入认证请求消息,包括使用异或运算和哈 希函数计算得到的随机数H=r⊕h(K||Ru),进一步计算得到的伪身份 PIDu=IDu⊕H,消息验证码MACu=h(IDu||Ru||T)以及随机数ru=Ru⊕ h(K||r),其中T为时间戳,Ru为终端发送认证请求的时候自己生成的 随机数,都是为了保证消息的新鲜性;ru是终端通过生成的随机数 Ru和之前注册获得的随机数r共同计算得到的;⊕运算符号表示异或 运算,H=r⊕h(K||Ru)表示K与Ru拼接后进行哈希计算,然后与r进 行异或运算得到H。
用户终端向卫星发送接入认证请求消息还包括用户终端选择的 安全等级的接入认证方式,所述安全等级的接入认证方式经过卫星转 发到地面管理中心,地面管理中心再选择对应的计算方式进行认证。 所述用户终端可以选择不同安全等级的接入认证方式包括哈希hash 算法选项、随机数长度选项以及对称加密算法选项,其中,哈希hash 算法选项包括安全散列算法SHA1、安全散列算法SHA128以及安全 散列算法SHA256,随机数长度选项包括32bit、64bit以及128bit, 对称加密算法选项包括AES(高级加密标准,AdvancedEncryption Standard),DES(数据加密标准,Data Encryption Standard)以及3DES(三 重数据加密标准,Triple Data Encryption Algorithm)。
卫星接收到用户终端的接入认证请求消息,通过在卫星上维护的 合法接入用户终端验证表判断当前用户终端是否首次接入认证,比如 可以通过用户终端是否携带有session_id信息,或携带的session_id 信息是否在合法接入用户终端验证表中来判断是否首次接入认证。若 为首次接入认证,转发用户终端的接入认证请求消息以及卫星的身份认证消息给地面管理中心,以此来向地面询问用户终端的合法性。
卫星的身份认证消息具体包括:卫星使用异或运算和哈希函数计 算得到随机数H’=r’⊕h(K’||Rs),进一步计算得到伪身份PIDs=IDs⊕H’,消息验证码MACs=h(IDs||Rs||T’)以及随机数rs=Rs⊕h(K’||r’), 其中T’为时间戳,Rs为卫星发送认证请求时自己生成的随机数。
本发明具体方法为:
步骤1,卫星系统中各个卫星在发射前统一向地面管理中心发送 携带有固有设备的信息来进行注册,地面管理中心向所述卫星发送包 含有卫星设备真实身份IDs、第一密钥K’、第二密钥k以及第一随机 数r’;
步骤2,原卫星根据卫星的周期性选择用户终端切换的卫星,原 卫星向切换卫星发送申请切换请求消息,所述申请切换请求消息包 括:使用第二密钥k加密得到的Ek(SK、IDu、K、rsat)、第一时间戳 Tsat,其中SK是原卫星与用户终端在接入认证后协商的会话密钥,IDu是用户终端的真实身份,K是用户终端的注册密钥,rsat是原卫星生 成的第二随机数;
步骤3,切换卫星接收到申请切换请求消息,通过低轨卫星系统 之间共同所存储的第二密钥k解密得到会话密钥SK、用户终端的真 实身份IDu以及对应的密钥K、随机数rsat。若成功解密得到用户终端 的认证信息,向原卫星回复允许切换应答消息,其中允许切换应答消 息包括:切换卫星使用哈希运算计算得到的切换会话密钥 SK1=h(SK||K||rsat||rsat’)、rsat’是切换卫星生成的第三随机数,||运算符号 表示拼接运算,h()函数为哈希函数;
步骤4,原卫星接收切换卫星的允许切换响应消息,所述的允许 切换响应消息包括:第二时间戳Tsat’及第三随机数rsat’。
步骤5,原卫星向用户终端发送切换准备消息,所述的切换准备 消息包括:使用原卫星与用户终端安全通信的会话密钥SK加密的消 息Esk(rsat、rsat’、H、n)、第三时间戳Tph消息验证码MACSAT,其中 MACSAT是使用原卫星与用户终端安全传输的消息验证码密钥 MACSAT_key对消息进行签名得到的,MACSAT_key=h(IDu||K||r)、r是 用户终端注册随机数、切换通知时间戳n及准备切换标志H。
步骤6,用户终端接收切换准备消息并计算切换密钥 SK1=h(SK||K||rsat||rsat’),计算第四随机数rh,向切换卫星发送切换认证 请求消息,所述切换认证请求消息包括:使用切换密钥SK1加密的消 息ESK1(ID、H)、唯一指定用户终端的标识消息session_id=h(IDu||rsat’)、 消息验证码MAC_H、第四时间戳Th、第四随机数rh,其中MAC_H 是使用原卫星与用户终端安全传输的消息验证码密钥MACSAT_key对 消息进行签名得到的;
步骤7,切换卫星接收并验证切换认证请求消息,判断时间戳信 息是否在允许的时间范围内,使用切换密钥SK1解密得到用户终端真 实身份ID及切换标志H,计算消息验证码密钥 MACSAT_key=h(IDu||K||ru),验证签名消息,比对原卫星之前发送来的 当前切换用户终端的真实身份IDu,若验证成功,则计算 Hsat_h=h(k||rsat’||rsat),计算session_id_h=h(ID||Tsh)唯一标识当前切换的 用户终端,使用用户终端注册密钥K加密的消息EK(session_id_h、 Hsat_h),原卫星与用户终端安全传输的消息验证码密钥MACSAT_key 对消息进行签名得到MAC_H,同时计算用于会话密钥SK’=h(h(K||r’ ||rh)||K’)以及消息验证码密钥MACUS_key=h(ID||Hsat_h),其中Tsh是第 五时间戳信息。
步骤8,用户终端接收并验证切换认证响应消息,计算用于会话 密钥SK’=h(h(K||r’||rh)||K’)以及消息验证码密钥 MACUS_key=h(ID||Hsat_h),所述切换认证响应消息包括:第五时间戳 Tsh,完成用户终端切换认证过程。
为了进一步详细说明用户终端切换认证过程,其具体步骤如下:
步骤301:用户终端首先需要接入原卫星,并进行接入认证过程, 接入认证成功后,用户终端和原卫星开始进行正常的安全传输。
步骤302:原卫星的覆盖范围逐渐远离用户时,基于卫星移动的 周期性和时钟高度同步的特点,用户终端大约每10分钟就会切换到 相邻的另一颗卫星,此时原卫星根据卫星周期性的特点选择用户所要 切换的卫星。
步骤303:原卫星生成随机数rsat和时间戳Tsat,原卫星向切换卫 星发送申请切换请求消息,使用低轨卫星网络中卫星之间所共享的密 钥k对消息进行加密Ek(SK、IDu、K、rsat)。
步骤304:切换卫星接收到申请切换请求消息,通过低轨卫星系 统之间共同所存储的第二密钥k解密得到会话密钥SK、用户终端的 真实身份IDu以及对应的密钥K、随机数rsat。若成功解密得到用户终 端的认证信息,计算随机数rsat’,使用哈希运算计算得到的切换会话 密钥SK1=h(SK||K||rsat||rsat’),同时向原卫星回复允许切换应答消息。
步骤305:原卫星计算切换通知时间戳n和时间戳Tph,使用会 话密钥SK加密的消息Esk(rsat、rsat’、H、n),计算MACSAT_key=h(IDu||K||r) 并通过原卫星与用户终端安全传输的消息验证码密钥MACSAT_key对 消息进行签名得到MACSAT,生成准备切换标志H,同时向用户终端 发送切换准备消息。
步骤306:用户终端接收切换准备消息时,使用会话密钥SK解 密得到H和n,根据当前接收到的切换通知携带的时间戳n与首次接 收原接入卫星发送接入认证响应的时间戳的差值m计算出切换时间, 当m与实际切换的经验值e相等时,开始向新卫星发起切换认证请 求,新卫星收到请求后对用户进行认证,若不等,则用户需要等待 m-e的时间。计算切换密钥SK1=h(SK||K||rsat||rsat’),计算随机数rh和时 间戳Th,使用切换密钥SK1加密的消息ESK1(ID、H),计算唯一指定 用户终端的标识消息session_id=h(IDu||rsat’),使用原卫星与用户终端 安全传输的消息验证码密钥MACSAT_key对消息进行签名得到 MAC_H,当达到切换时间的时候,用户终端向切换卫星发送切换认 证请求消息。
步骤307:切换卫星接收并验证切换认证请求消息,判断时间戳 信息是否在允许的时间范围内,计算时间戳Tsh,使用切换密钥SK1解密得到用户终端真实身份ID及切换标志H,计算消息验证码密钥 MACSAT_key=h(IDu||K||ru),验证签名消息,比对原卫星之前发送来的 当前切换用户终端的真实身份IDu,若验证成功,则计算 Hsat_h=h(k||rsat’||rsat)、session_id_h=h(ID||Tsh)唯一标识当前切换的用户终 端,使用用户终端注册密钥K加密的消息EK(session_id_h、Hsat_h), 使用原卫星与用户终端安全传输的消息验证码密钥对消息进行签名 得到MAC_H’,计算用于会话密钥SK’=h(h(K||r’||rh)||K’)以及消息 验证码密钥MACUS_key=h(ID||Hsat_h)。
步骤308:当用户终端接收并验证切换认证响应消息,具体为: 用户终端使用MACSAT_key验证签名,若验证成功,用户终端使用用 户终端注册密钥K解密得到session_id_h和Hsat_h,计算用于会话密 钥SK’=h(h(K||r’||rh)||K’)以及消息验证码密钥 MACUS_key=h(ID||Hsat_h),完成用户终端切换认证过程。

Claims (10)

1.一种低轨卫星通信网络快速切换认证方法,它包括:
步骤1、用户终端携带固有身份信息向地面管理中心进行注册,卫星终端携带卫星固有设备信息向地面管理中心进行注册,地面管理中心向用户终端以及卫星发送注册响应,保存用户终端以及卫星的注册信息,完成所述用户终端以及卫星的注册;
步骤2、原卫星根据卫星的周期性选择用户终端切换的卫星;
步骤3、原卫星向切换卫星发送申请切换请求消息;
步骤4、切换卫星接收到申请切换请求消息,若成功解密得到用户终端的认证信息,向原卫星回复允许切换响应消息;
步骤5、原卫星接收切换卫星的允许切换响应消息,生成用于发送给终端设备的切换准备信息,原卫星向用户终端发送切换准备消息;
步骤6、用户终端接收切换准备消息,并判断切换时间,向切换卫星发送切换认证请求消息;
步骤7、切换卫星接收并验证切换认证请求消息,发送切换认证响应信息给用户终端;
步骤8、用户终端接收并验证切换认证响应信息,完成切换认证过程。
2.根据权利要求1所述的一种低轨卫星通信网络快速切换认证方法,其特征在于:步骤1的具体实现方法为:固有身份信息包括18位的身份证号或设备生产编号,若不足18位则用随机数填充,地面管理中心获取用户终端的的固有身份信息后计算用户终端真实身份IDu=SHA1(身份证号或设备生产编号||18字节的随机数),以对称加密的方式生成256bit对应的密钥K,同时生成256bit的随机数r发送给注册的用户终端,用户终端将IDu、K以及r存储起来;其中函数SHA1()为安全散列算法1的哈希函数,SHA1(身份证号或设备生产编号||18字节的随机数)运算表示,对身份证号或者设备生产编号与18字节的随机数拼接后进行单向哈希计算;
卫星固有设备信息包括18位卫星生产编号,若不足18位则用随机数填充,地面管理中心获取卫星设备的固有身份信息后计算卫星真实身份IDs=SHA1(卫星生产编号||18字节的随机数),以对称加密的方式生成256bit对应的密钥K’以及卫星系统中所有卫星所共享的密钥k,同时生成256bit的随机数r’,发送给注册的卫星,卫星将IDs、K’、r’以及k存储起来。
3.根据权利要求1所述的一种低轨卫星通信网络快速切换认证方法,其特征在于:步骤3所述申请切换请求消息包括:使用第二密钥k加密得到的Ek(SK、IDu、K、rsat)、第一时间戳Tsat,SK是原卫星与用户终端在接入认证后协商的会话密钥,IDu是用户终端的真实身份,K是用户终端的注册密钥,rsat是原卫星生成的第二随机数。
4.根据权利要求1所述的一种低轨卫星通信网络快速切换认证方法,其特征在于:步骤4所述切换卫星接收到申请切换请求消息,若成功解密得到用户终端的认证信息,向原卫星回复允许切换应答消息的具体实现方法为:切换卫星接收到申请切换请求消息,通过低轨卫星系统之间共同所存储的第二密钥k解密得到会话密钥SK、用户终端的真实身份IDu以及对应的注册密钥K、随机数rsat,若成功解密得到用户终端的认证信息,向原卫星回复允许切换应答消息,允许切换应答消息包括:切换卫星使用哈希运算计算得到的切换会话密钥SK1=h(SK||K||rsat||rsat’)、rsat’是切换卫星生成的第三随机数,||运算符号表示拼接运算,h()函数为哈希函数。
5.根据权利要求1所述的一种低轨卫星通信网络快速切换认证方法,其特征在于:步骤5所述允许切换响应消息包括:第二时间戳Tsat’及第三随机数rsat’;所述切换准备信息包括:使用原卫星与用户终端安全通信的会话密钥SK加密的消息Esk(rsat、rsat’、H、n)、第三时间戳Tph和消息验证码MACSAT,其中MACSAT是使用原卫星与用户终端安全传输的消息验证码密钥MACSAT_key对消息进行签名得到的,MACSAT_key=h(IDu||K||r)、r是用户终端注册随机数、切换通知时间戳n及准备切换标志H。
6.根据权利要求1所述的一种低轨卫星通信网络快速切换认证方法,其特征在于:步骤6所述用户终端接收切换准备消息,并判断切换时间,向切换卫星发送切换认证请求消息的方法为:用户终端接收切换准备消息并计算切换密钥SK1=h(SK||K||rsat||rsat’),计算第四随机数rh,向切换卫星发送切换认证请求消息,所述切换认证请求消息包括:使用切换密钥SK1加密的消息ESK1(ID、H)、唯一指定用户终端的标识消息session_id=h(IDu||rsat’)、消息验证码MAC_H、第四时间戳Th、第四随机数rh,其中MAC_H是使用原卫星与用户终端安全传输的消息验证码密钥MACSAT_key对消息进行签名得到的。
7.根据权利要求1所述的一种低轨卫星通信网络快速切换认证方法,其特征在于:步骤7所述切换卫星接收并验证切换认证请求消息,发送切换认证响应信息给用户终端的方法为:切换卫星接收并验证切换认证请求消息,判断时间戳信息是否在允许的时间范围内,使用切换密钥SK1解密得到用户终端真实身份ID及切换标志H,计算消息验证码密钥MACSAT_key=h(IDu||K||ru),验证签名消息,比对原卫星之前发送来的当前切换用户终端的真实身份IDu,若验证成功,则计算Hsat_h=h(k||rsat’||rsat),计算session_id_h=h(ID||Tsh)唯一标识当前切换的用户终端,使用用户终端注册密钥K加密的消息EK(session_id_h、Hsat_h),原卫星与用户终端安全传输的消息验证码密钥MACSAT_key对消息进行签名得到MAC_H,同时计算用于会话密钥SK’=h(h(K||r’||rh)||K’)以及消息验证码密钥MACUS_key=h(ID||Hsat_h),其中Tsh是第五时间戳信息。
8.根据权利要求7所述的一种低轨卫星通信网络快速切换认证方法,其特征在于:步骤8所述用户终端接收并验证切换认证响应信息,完成切换认证过程的方法为:用户终端使用MACSAT_key验证签名,若验证成功,用户终端使用用户终端注册密钥K解密得到session_id_h和Hsat_h,计算用于会话密钥SK’=h(h(K||r’||rh)||K’)以及消息验证码密钥MACUS_key=h(ID||Hsat_h),完成用户终端切换认证过程。
9.根据权利要求1所述的一种低轨卫星通信网络快速切换认证方法,其特征在于:它还包括:
用户终端向卫星发送接入认证请求消息,包括使用异或运算和哈希函数计算得到的随机数H=r⊕h(K||Ru),进一步计算得到的伪身份PIDu=IDu⊕H,消息验证码MACu=h(IDu||Ru||T)以及随机数ru=Ru⊕h(K||r),其中T为时间戳,Ru为终端发送认证请求的时候自己生成的随机数;ru是终端通过生成的随机数Ru和之前注册获得的随机数r共同计算得到的;⊕运算符号表示异或运算,H=r⊕h(K||Ru)表示K与Ru拼接后进行哈希计算,然后与r进行异或运算得到H;
卫星接收到用户终端的接入认证请求消息,通过在卫星上维护的合法接入用户终端验证表判断当前用户终端是否首次接入认证,通过用户终端是否携带有session_id信息,或携带的session_id信息是否在合法接入用户终端验证表中来判断是否首次接入认证;若为首次接入认证,转发用户终端的接入认证请求消息以及卫星的身份认证消息给地面管理中心,以此来向地面询问用户终端的合法性。
10.根据权利要求9所述的一种低轨卫星通信网络快速切换认证方法,其特征在于:用户终端向卫星发送接入认证请求消息还包括用户终端选择的安全等级的接入认证方式,所述安全等级的接入认证方式经过卫星转发到地面管理中心,地面管理中心再选择对应的计算方式进行认证;用户终端可以选择不同安全等级的接入认证方式包括哈希hash算法选项、随机数长度选项以及对称加密算法选项,哈希hash算法选项包括安全散列算法SHA1、安全散列算法SHA128以及安全散列算法SHA256,随机数长度选项包括32bit、64bit以及128bit,对称加密算法选项包括AES、DES、或3DES;卫星的身份认证消息具体包括:卫星使用异或运算和哈希函数计算得到随机数H’=r’⊕h(K’||Rs),进一步计算得到伪身份PIDs=IDs⊕H’,消息验证码MACs=h(IDs||Rs||T’)以及随机数rs=Rs⊕h(K’||r’),其中T’为时间戳,Rs为卫星发送认证请求时自己生成的随机数。
CN202011035872.3A 2020-09-27 2020-09-27 一种低轨卫星通信网络快速切换认证方法 Active CN112332900B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011035872.3A CN112332900B (zh) 2020-09-27 2020-09-27 一种低轨卫星通信网络快速切换认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011035872.3A CN112332900B (zh) 2020-09-27 2020-09-27 一种低轨卫星通信网络快速切换认证方法

Publications (2)

Publication Number Publication Date
CN112332900A true CN112332900A (zh) 2021-02-05
CN112332900B CN112332900B (zh) 2023-03-10

Family

ID=74304294

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011035872.3A Active CN112332900B (zh) 2020-09-27 2020-09-27 一种低轨卫星通信网络快速切换认证方法

Country Status (1)

Country Link
CN (1) CN112332900B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113079016A (zh) * 2021-03-23 2021-07-06 中国人民解放军国防科技大学 一种面向天基网络的身份基认证方法
CN113783694A (zh) * 2021-10-25 2021-12-10 北京计算机技术及应用研究所 一种面向低轨卫星通信的隐身份切换认证方法
CN114173342A (zh) * 2021-12-09 2022-03-11 重庆邮电大学 一种面向leo低轨卫星网络的共识认证方法
CN114826651A (zh) * 2022-03-08 2022-07-29 重庆邮电大学 一种面向低轨卫星网络的轻量无证书认证方法
CN116056078A (zh) * 2022-10-10 2023-05-02 西安电子科技大学 天地一体化场景下基于轨迹预测的高速终端安全认证方法
CN116056080A (zh) * 2022-08-18 2023-05-02 重庆邮电大学 一种面向低轨卫星网络的卫星切换认证方法
CN116347433A (zh) * 2022-12-27 2023-06-27 中国电信股份有限公司卫星通信分公司 卫星终端通信方法、装置、非易失性存储介质及电子设备
CN117376917A (zh) * 2023-12-05 2024-01-09 成都本原星通科技有限公司 一种基于格代理签密算法的卫星终端认证的卫星通信方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140325225A1 (en) * 2013-04-27 2014-10-30 Quantron Inc. Self-authenticated method with timestamp
US20160286392A1 (en) * 2015-03-25 2016-09-29 Juniper Networks, Inc. Apparatus and method for authenticating network devices
CN107147489A (zh) * 2017-05-02 2017-09-08 南京理工大学 一种leo卫星网络内分布式的接入认证管理方法
CN109039436A (zh) * 2018-10-23 2018-12-18 中国科学院信息工程研究所 一种卫星安全接入认证的方法及系统
CN110971415A (zh) * 2019-12-13 2020-04-07 重庆邮电大学 一种天地一体化空间信息网络匿名接入认证方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140325225A1 (en) * 2013-04-27 2014-10-30 Quantron Inc. Self-authenticated method with timestamp
US20160286392A1 (en) * 2015-03-25 2016-09-29 Juniper Networks, Inc. Apparatus and method for authenticating network devices
CN107147489A (zh) * 2017-05-02 2017-09-08 南京理工大学 一种leo卫星网络内分布式的接入认证管理方法
CN109039436A (zh) * 2018-10-23 2018-12-18 中国科学院信息工程研究所 一种卫星安全接入认证的方法及系统
CN110971415A (zh) * 2019-12-13 2020-04-07 重庆邮电大学 一种天地一体化空间信息网络匿名接入认证方法及系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
KAIPING XUE 等: "A Secure and Efficient Access and Handover Authentication Protocol for Internet of Things in Space Information Networks", 《IEEE INTERNET OF THINGS JOURNAL》 *
孟梦 等: "一种安全高效的LEO卫星网络任意点切换方案", 《计算机工程》 *
洪佳楠 等: "天地一体化网络中基于预认证与群组管理的安全切换方案", 《网络与信息安全学报》 *
魏松杰 等: "基于共识机制的LEO低轨卫星网络区域合作认证协议", 《计算机研究与发展》 *

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113079016A (zh) * 2021-03-23 2021-07-06 中国人民解放军国防科技大学 一种面向天基网络的身份基认证方法
CN113783694A (zh) * 2021-10-25 2021-12-10 北京计算机技术及应用研究所 一种面向低轨卫星通信的隐身份切换认证方法
CN113783694B (zh) * 2021-10-25 2023-02-03 北京计算机技术及应用研究所 一种面向低轨卫星通信的隐身份切换认证方法
CN114173342A (zh) * 2021-12-09 2022-03-11 重庆邮电大学 一种面向leo低轨卫星网络的共识认证方法
CN114173342B (zh) * 2021-12-09 2024-03-19 兰溪华数广电网络有限公司 一种面向leo低轨卫星网络的共识认证方法
CN114826651B (zh) * 2022-03-08 2023-07-18 重庆邮电大学 一种面向低轨卫星网络的轻量无证书认证方法
CN114826651A (zh) * 2022-03-08 2022-07-29 重庆邮电大学 一种面向低轨卫星网络的轻量无证书认证方法
CN116056080A (zh) * 2022-08-18 2023-05-02 重庆邮电大学 一种面向低轨卫星网络的卫星切换认证方法
CN116056080B (zh) * 2022-08-18 2024-07-19 重庆邮电大学 一种面向低轨卫星网络的卫星切换认证方法
CN116056078A (zh) * 2022-10-10 2023-05-02 西安电子科技大学 天地一体化场景下基于轨迹预测的高速终端安全认证方法
CN116056078B (zh) * 2022-10-10 2024-05-31 西安电子科技大学 天地一体化场景下基于轨迹预测的高速终端安全认证方法
CN116347433A (zh) * 2022-12-27 2023-06-27 中国电信股份有限公司卫星通信分公司 卫星终端通信方法、装置、非易失性存储介质及电子设备
CN116347433B (zh) * 2022-12-27 2024-05-28 中国电信股份有限公司卫星通信分公司 卫星终端通信方法、装置、非易失性存储介质及电子设备
CN117376917A (zh) * 2023-12-05 2024-01-09 成都本原星通科技有限公司 一种基于格代理签密算法的卫星终端认证的卫星通信方法
CN117376917B (zh) * 2023-12-05 2024-03-26 成都本原星通科技有限公司 一种基于格代理签密算法的卫星终端认证的卫星通信方法

Also Published As

Publication number Publication date
CN112332900B (zh) 2023-03-10

Similar Documents

Publication Publication Date Title
CN112332900B (zh) 一种低轨卫星通信网络快速切换认证方法
CN110971415B (zh) 一种天地一体化空间信息网络匿名接入认证方法及系统
CN111314056B (zh) 基于身份加密体制的天地一体化网络匿名接入认证方法
US8295488B2 (en) Exchange of key material
JP5225459B2 (ja) トラフィック暗号化キーの派生方法
JP4002035B2 (ja) 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法
JP5238071B2 (ja) トラフィック暗号化キーの派生方法
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法
US20020120844A1 (en) Authentication and distribution of keys in mobile IP network
JP2012110009A (ja) エンティティの認証と暗号化キー生成の機密保護されたリンクのための方法と構成
CN108964897B (zh) 基于群组通信的身份认证系统和方法
JP2013066220A (ja) セルラー無線システムにおける無線基地局鍵を生成する方法と装置
CN112788594B (zh) 数据传输方法、装置和系统、电子设备、存储介质
CN108353279A (zh) 一种认证方法和认证系统
CN116056080B (zh) 一种面向低轨卫星网络的卫星切换认证方法
CN112564775A (zh) 一种基于区块链的空间信息网络访问控制系统与认证方法
CN108880799B (zh) 基于群组密钥池的多次身份认证系统和方法
CN112235792A (zh) 一种多类型终端接入与切换认证方法、系统、设备及应用
CN110212991B (zh) 量子无线网络通信系统
CN108882233B (zh) 一种imsi的加密方法、核心网和用户终端
CN101547091A (zh) 一种信息发送的方法及装置
CN114258013B (zh) 数据加密方法、设备和存储介质
Karati et al. QuDPas-FHA: Quantum-Defended Privacy-Preserved Fast Handover Authentication in Space Information Networks
CN109067705B (zh) 基于群组通信的改进型Kerberos身份认证系统和方法
CN115412909A (zh) 一种通信方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant